基于 SSL 实现MySQL主从复制
1、主服务器配置
1)、在主服务器创建SSL/RSA文件
1)、在主服务器创建SSL/RSA文件
#在MySQL5.7之后,安装完毕MySQL会在data目录下自动生成,这里模拟没有这些文件 [ ~]# mysql_ssl_rsa_setup --user=mysql --basedir=/usr/local/mysql --datadir=/usr/local/mysql/data # 创建一个新的ssl文件
[ ~]# systemctl restart mysqld # 重启服务 #查看mysql错误日志 [ ~]# tail -20 /usr/local/mysql/data/mysql.err #报错信息显示是不能获得私钥
#查询后发现没有r权限 [ ~]# ll /usr/local/mysql/data/server-key.pem -rw------- 1 root root 1679 Jun 17 23:55 /usr/local/mysql/data/server-key.pem [ ~]# chmod +r /usr/local/mysql/data/server-key.pem [ ~]# ll /usr/local/mysql/data/server-key.pem -rw-r--r-- 1 root root 1679 Jun 17 23:55 /usr/local/mysql/data/server-key.pem #重启服务 [ ~]# systemctl restart mysqld #登录数据库查看是否支持ssl连接了 mysql> show variables like ‘%ssl%‘; +---------------+-----------------+ | Variable_name | Value | +---------------+-----------------+ | have_openssl | YES | | have_ssl | YES | | ssl_ca | ca.pem | | ssl_capath | | | ssl_cert | server-cert.pem | | ssl_cipher | | | ssl_crl | | | ssl_crlpath | | | ssl_key | server-key.pem | +---------------+-----------------+ 9 rows in set (0.01 sec) #生成一个复制账号 mysql> grant replication slave on *.* to ‘req‘@‘192.168.171.%‘ identified by ‘123‘ require ssl;
注:启用 mysql 支持 ssl 安全连接主要用于 mysql 主从复制(局域网可以非 ssh 连接即明文 复制,但 internet 复制建议采用 ssl 连接)
[ ~]# cat /etc/my.cnf # 开启二进制日志 [mysqld] log_bin=mysql-bin server-id=1 [ ~]# systemctl restart mysqld #重启服务 mysql> show master status ; # 查看master当前状态 +------------------+----------+--------------+------------------+-------------------+ | File | Position | Binlog_Do_DB | Binlog_Ignore_DB | Executed_Gtid_Set | +------------------+----------+--------------+------------------+-------------------+ | mysql-bin.000004 | 154 | | | | +------------------+----------+--------------+------------------+-------------------+ 1 row in set (0.00 sec)
2、从服务器配置
[ ~]# cat /etc/my.cnf # 开启中继日志 [mysqld] relay_log=relay-bin relay_log_index=slave-relay-bin server-id=2 # 注意server-id 要唯一 #主服务器操作,将证书给到从服务器 [ ~]# cd /usr/local/mysql/data/ [ data]# scp ca.pem client-cert.pem client-key.pem :/usr/local/mysql/data/ #查看从主服务器上方复制过来的证书 [ data]# ll ca.pem client-cert.pem client-key.pem -rw-r--r-- 1 root root 1107 Jun 18 00:16 ca.pem -rw-r--r-- 1 root root 1107 Jun 18 00:16 client-cert.pem -rw------- 1 root root 1679 Jun 18 00:16 client-key.pem #设置 client-key.pem 的 r 权限 [ data]# chmod +r client-key.pem [ data]# vim /etc/my.cnf # 继续在my.cnf中写入 ssl-ca=/usr/local/mysql/data/ca.pem ssl-cert=/usr/local/mysql/data/client-cert.pem ssl-key=/usr/local/mysql/data/client-key.pem [ data]# systemctl restart mysqld # 重启服务
查看 mysqld.err 是否有错误日志 ,查看ssl是否被支持
在配置主从复制之前可以在从 mysql 上用 SSL 连接主服务器试试:
[ data]# mysql --ssl-ca=ca.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem -u bak -p123 -h 192.168.171.135
SSL 测试连接成功,并且登入的 SSL 协议是: Cipher in use is DHE-RSA-AES256-SHA
mysql> change master to master_host=‘192.168.171.135‘,master_user=‘bak‘,master_password=‘123‘,master_log_file=‘mysql-bin.000004‘,master_log_pos=766,master_ssl=1,master_ssl_ca=‘/usr/local/mysql/data/ca.pem‘,master_ssl_cert=‘/usr/local/mysql/data/client-cert.pem‘,master_ssl_key=‘/usr/local/mysql/data/client-key.pem‘; mysql> start slave; mysql> show slave status\G
接下来就可以在主服务器上写入数据进行测试了
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS) 是为网络通信提供安全及数据完整性的一种安全协议。复制默认是明文进行传输的,通过 SSL 加密可以大大提高数据的安全性。
相关推荐
CoderToy 2020-11-16
bianruifeng 2020-11-16
云中舞步 2020-11-12
敏敏张 2020-11-11
暗夜之城 2020-11-11
好记忆也需烂 2020-11-11
Coder技术文摘 2020-09-29
huacuilaifa 2020-10-29
Gexrior 2020-10-22
lpfvip00 2020-10-07
云中舞步 2020-09-11
康慧欣 2020-09-10
emmm00 2020-11-17
王艺强 2020-11-17
ribavnu 2020-11-16
wangshuangbao 2020-11-13
苏康申 2020-11-13
vivenwan 2020-11-13